Frases

segunda-feira, 10 de maio de 2010

Protegendo seu sistema contra ataques ARP


Quando você não confia nas outras maquinas da sua rede (que deve ser sempre o caso, porque isso é uma atitude de segurança) você deve se proteger de varios ataques do tipo ARP

Como você sabe o protocolo ARP é usado para (ligar, amarrar, colar) um IP em um mac adress, como você pode ver na "RFC826 para mais detalhes.
Toda vez que você eviar um pacote para um IP, uma resolução ARP será feita ( primeiro, olhando na tabela de ARP cache local, depois se esta não estiver presente, aí então será enviada uam mensagem em Broadcast (ff:ff:ff:ff:ff:ff) para encontrar o hardware alvo.

Todos os ataques ARP tentam enganar a vitima, fazendo pensar que a o IP do computador A esta associado ao mac adress do "atacante".

Então todo pacote que você mandar para o IP A vai ser enviado automaticamente para a maquina atacante

Os ataques do tipo (arp cache poison, ARP spoofing ...) permitem que o atacante snife o trafego, mesmo estando entre switchs, fazendo com que o atacante possa facilmente roubar sessões de outras maquinas, desconectar qualquer host da rede... etc

Ataques ARP são poderosos e simples de serem implementados, e existem também inumeras ferramentas para isso, como arpspoof do pacote dsniff, etc.



No entanto sempre existe uma soluções.

*
Uma delas é usar endereços estaticos na tabela arp dos computadores da sua rede.

Você pode configurar entradas ARP estáticas da seguinte maneira:

arp -s host mac

Configurando entradas estáticas para cada host importante na sua rede, você vai assegurar que ninguém vai criar ou modificar as entradas ARP desses computadores ( lembrando que entradas estáticas não expiram e não podem ser modificadas), por isso, mensagens do tipo ARP replies vão ser ignoradas.


*

Outra dica importante é usar o ARPwatch para fazer o controle das tabelas, este esta disponível para linux e windows.

*

4 comentários:

Anônimo disse...

JK.
ARP é muito bom para usar como MITM,

broen disse...

Achei estranho a imagem abaixo, porque o trafego passa SIM pelo switch quando poisoned, mas por sua vez, ele nao faz a verificação na sua tabela ARP.

Jefee disse...

Legal o post, vou tentar achar umas ferramentas pra isso aqui.

Móta disse...

http://www.grc.com/nat/arp.htm